DevSecOps 是开发、安全和运维的缩写。它扩展了 DevOps 的原则,从初始设计到部署和维护,在整个软件开发生命周期(SDLC)中贯彻安全的保障措施。
传统的 DevOps 中,安全检查可能设置在开发流程的最后阶段。DevSecOps 则将此转变为「左移」安全,即在整个流程中尽早、持续地集成安全。
「左移测试」是一种软件测试和系统测试方法,意为在生命周期的早期(即在项目时间轴上左移)进行测试。它由 Larry Smith 于 2001 年提出,是格言「尽早测试,经常测试」的前半部分。
——维基百科
接下来,我们将介绍一些流行的 DevSecOps 工具。
GitLab - CI/CD
GitLab 起初是 GitHub 的开源替代品,专注于开发者的版本控制和协作。多年来,它已发展成为一个全面的 DevSecOps 平台,将安全直接嵌入软件开发的生命周期。2024 年 3 月,GitLab 收购了专门从事云原生应用安全和风险管理的 Oxeye 公司,这表明它们进一步加强了对安全的关注。
Snyk - 漏洞检测
Snyk 是一个以开发者为先的安全平台,专注于将安全集成到开发工作流中,使团队能够在整个软件开发生命周期(SDLC)中识别和修复漏洞。
作为 DevSecOps 领域的重要参与者,Snyk 将自动安全检查直接嵌入编码、构建和部署流水线,在开发者和安全团队之间架起了一座桥梁。通过在集成开发环境、CI/CD 流水线和资源库中提供实时反馈,Snyk 的平台使开发者能够在不中断工作流程的情况下掌握安全的主动权。
Snyk 还通过收购扩展其能力。2024 年,它收购了 Probely 和 Helios。
同领域的其他选择:
HashiCorp Terraform + Vault - 基础架构
HashiCorp Terraform 和 Vault 是 DevSecOps 领域的强大组合,可将安全性嵌入基础架构配置和机密管理。
Terraform 通过声明式代码实现跨云提供商、数据中心和服务的基础设施的自动配置、修改和管理。它能实现一致且可重复的基础架构部署,同时最大限度地减少人为错误。
Vault 通过统一界面管理机密和敏感数据,在分布式基础架构和应用之间提供动态机密、数据加密和基于身份的访问。
将 Terraform 和 Vault 结合使用,可以创建安全、自动化,遵循 DevSecOps 原则的基础架构流水线。
- Terraform 使用 IaC 配置云资源(如 AWS EC2、RDS)和服务。
- 配置过程中,Terraform 会动态地从 Vault 获取机密,确保 Terraform 代码或资源库中不存储静态凭据。
- 哨兵策略(Sentinel policies)会在部署前验证基础架构合规性,确保所有资源符合安全要求。
- Vault 在部署后继续管理机密,动态轮换机密并防止未经授权的访问。
同领域的其他选择:
Cortex - 服务目录
Cortex 是一个内部开发者门户(IDP),旨在提高整个开发工作流程的可视性、治理和安全性,使开发、安全和运维团队保持一致,以确保合规性并提高系统弹性。
Cortex 与上述 Sonar、Snyk 等工具集成,在 CI/CD 流水线中嵌入了安全检查。
同领域的其他选择:
Bytebase - 数据库
Bytebase 是一个数据库 DevSecOps 平台,专为开发者、安全、DBA 和平台工程团队设计。
Bytebase 通过 SQL 审查、精细的数据库权限和动态数据脱敏等功能增强数据库的安全性和合规性。
总结
DevSecOps 将安全融入软件开发生命周期的每个阶段。
这篇文章探讨了流行的 DevSecOps 工具,包括用于 CI/CD 安全的 GitLab、用于漏洞扫描的 Snyk、用于基础架构安全的 HashiCorp、用于服务治理的 Cortex 和用于数据库开发者工作流安全保障的 Bytebase。这些工具反映了现代开发者对主动、持续安全的日益重视。
💡 更多资讯,请关注 Bytebase 公号:Bytebase
mysql
mongodb
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。